入端口(ingress port)是交换机上的这样一个端口——数据包从该端口流入交换机,并且必须在该端口确定其vlan 属性。如果端口的入站过滤(ingress filtering)被设置为生效(enabled),那么,交换机将检查数据包包头中的vlan 信息(如果存在的话),并决定是否转发该数据包。
如果数据包中包含vlan 信息(即被加过标记),那么,入端口首先判定入端口本身是否是标记vlan 的成员端口。如果不是,那么,该数据包将被丢弃,不进行传送。如果是成员端口,那么,交换机将进一步判定目的端口是否是标记vlan 的成员端口。如果不是,那么,该数据包也将被丢弃;反之,该数据包将被转发到目的端口。
如果数据包中不包含vlan 信息(即未被加过标记),那么,入端口将用其pvid 作为数据包的vid 为数据包加上标记(如果该端口是tagging port)。交换机随后判断目的端口是否与入端口属于同一个vlan(即具有相同的vid),如果不是,那么,该数据包将被丢弃,不进行传送。反之,该数据包将被转发到目的端口。
这就是入站过滤(ingress filtering)。在入端口处就丢弃掉那些不在同一个vlan 中的数据包,可以尽可能地保存带宽, 减少后续的目的端口处理数据包的工作量。
分享到:
相关推荐
- **数据转发过程**:数据转发过程中,Ingress filtering阶段,即数据包进入网络时,会受到PSFP策略的影响。具体来说,TSN网桥或终端站可以执行PSFP,对每个接收的数据帧进行过滤和监管决策,以确保其符合预设的...
Ingress Filtering是一种过滤机制,通过设置访问路由器上的访问列表来丢弃不符合特定条件的数据包。当数据包不符合设定的条件时,将被丢弃。 #### 其他常见网络主动攻击方法 除了DDoS攻击之外,还有其他几种常见的...
Ingress Filtering通过在网络边界设备上配置合法IP源地址前缀空间作为判定规则。DPF依赖入站分组的IP源地址与入站接口的映射,但如何建立这种映射关系并未深入探讨。SAVE则设计了全新的协议,通过扩展传统路由协议的...
为应对这类攻击,推荐实施入口过滤(Ingress Filtering),根据RFC2827,限制伪装源IP的报文进入网络,以早期预防DoS攻击。此外,网络设备应具备硬件层面的DOS防御技术,如防Dos攻击、防扫描、防源IP地址欺骗等功能...
网络接入处应实施入口过滤(Ingress Filtering),限制伪装源IP的报文,防止DoS攻击。核心交换机还应支持设置最大可监控攻击主机数量,以增强系统防护。 综上所述,XX校园智慧网络建设网络安全设计涵盖了从设备级...
- **入侵过滤(Ingress Filtering)**:这是一种基础但非常有效的安全策略,可以在网络入口处部署,用于拦截那些声称来自内部网络但实际上并不属于该网络的数据包。这有助于防止反射型DDoS攻击。 - **反追踪方法...
- 入口过滤(Ingress Filtering):一种安全措施,用于验证进入网络的数据包是否来自合法源地址。 - 密钥(Key):用于加密和解密的参数或密码。 - 私钥(Private Key):用于非对称加密中,需要保密的密钥。 - 公钥...
1. **进入过滤(Ingress Filtering)**:这是一种基于路由器的技术,通过过滤数据包的源地址来阻止来自非法地址的流量。然而,这种方法的实施难度较大,需要强大的路由管理和识别能力。 2. **输入调试(Input ...
为了防御此类攻击,业界最佳实践(BCP)包括入口/出口过滤(Ingress/Egress Filtering,简称IEF)和单播反向路径转发(Unicast Reverse Path Forwarding,简称uRPF)的变体,这些措施在路由器中被广泛实施。...